IPsec VPN 实验

实验拓扑


图 1-1

实验需求

  1. 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,长沙分公司在内网中旁挂 WOC 作为 VPN 设备
  2. 配置 IPsec VPN,使深圳总部和长沙分公司内网互通

实验解法

  1. 在深圳总部和长沙分公司的公网出口设备上配置端口映射,使 IPsec VPN 设备公网可见

      分析:由于 VPN 设备旁挂在内网中,所以需要在各自的公网出口设备上配置端口映射。IPsec 需要映射 UDP500 端口,另外还需要映射 IKE 协议的 UDP4500 端口
      深圳总部公网具有双线路接入互联网,可根据需求分别配置电信和联通的端口映射,这里只映射电信线路的端口

      
    步骤 1:在深圳总部登录 AD 设备,点击 网络配置-端口映射,如图 1-2 所示


    图 1-2

    步骤 2:点击 新建,把电信的公网地址的 UDP500 和 UDP4500 端口映射至 SSL VPN,如图 1-3 所示,配置完成后点击 完成


    图 1-3

    步骤 3:在长沙分公司登录 AC 设备,点击 系统管理-端口映射,如图 1-4 所示


    图 1-4

    步骤 4:点击 新增-简单规则,把公网地址的 UDP500 和 UDP4500 端口映射至 WOC,如图 1-5 所示,配置完成后点击 完成


    图 1-5

    UDP4500 端口配置方法与图 1-5 一致

  2. 在深圳总部的 SSL VPN 设备上配置 IPsec VPN

    步骤 1:登录 SSL VPN 设备,点击 IPsec VPN 设置-第一阶段,配置 IPsec VPN 的第一阶段,如图 1-6 所示


    图 1-6

    步骤 2:点击 新增设备名称填写容易分辨的名称、固定 IP 填写长沙分公司的公网 IP 地址,认证方式 选择 预共享密钥,并配置密钥,如图 1-7 所示


    图 1-7

    步骤 3:点击 高级,选择模式为 野蛮模式,选择身份类型为 FQDN,并配置本端和对端身份,完成后点击 确定,完成配置第一阶段,如图 1-8 所示


    图 1-8

    注意:由于 VPN 设备为旁挂部署,所以必须使用野蛮模式连接

    步骤 4:点击进入第二阶段配置,首先新增 入站策略,子网填写长沙分公司的私网网段,如图 1-9 所示


    图 1-9

    步骤 5:新增 出站策略,子网填写深圳总部本地私网网段,如图 1-10 所示


    图 1-9

  3. 在长沙分公司的 WOC 设备上配置 IPsec VPN

    步骤 1:登录 WOC 设备,点击 IPsec VPN-IPsec 连接,配置 IPsec VPN 的第一阶段,如图 1-10 所示


    图 1-10

    步骤 2:新建第一阶段,填写容易分辨的名称,选择野蛮模式,填写深圳总公司公网 IP 地址,以及预共享密钥和本端、对端 FQDN,如图 1-11 所示


    图 1-11

    步骤 3:切换到第二阶段,新增入站策略,远程 IP 处填写深圳总公司的私网网段,如图 1-12 所示


    图 1-12

    步骤 4:新增出站策略,本地 IP 处填写长沙分公司的本地私网网段,如图 1-13 所示


    图 1-13

    步骤 5:在 VPN 设备上的 VPN 状态查看中查看,可以发现 IPsec VPN 连接已经建立,如图 1-14 所示


    图 1-14

  4. 在终端的网关设备上配置私网路由

      分析:因为本环境中,VPN 设备旁挂在网络中,需要在网关设备上配置到达对端私网的路由,下一跳指向 VPN 设备,使私网报文可以正确发往 VPN 设备进行公网封装
      
    步骤 1:在深圳总公司登录 AF 设备,配置到达长沙私网网段的静态路由,下一跳指向 VPN 设备,如图 1-15 所示


    图 1-15

    步骤 2:在长沙分公司登录 AC 设备,配置到达深圳私网网段的静态路由,下一跳指向 VPN 设备,如图 1-16 所示


    图 1-16

  5. 效果测试

    在深圳总公司的 PC 上测试,可以 Ping 通 长沙分公司的内网 PC,如图 1-17 所示


    图 1-17